Краткие теоретические сведения: Не смотря на то, что в состав современных операционных систем входят утилиты конфигурирования сети с графическим интерфейсом, задачи по диагностике и настройке сети удобнее решать с помощью консольных утилит. В MS Windows к этим утилитам относят: • Ipconfig – утилита отображения конфигурации IP, • Ping – утилита диагностики сетевого соединения, • Net – комплекс утилит для работы с сетью Microsoft, • Netsh – утилита настройки всего стека протоколов MS Windows. Справку по утилитам командной строки можно получить так: command_name /? , а по команде net так: net help имя_директивы. Linux – UNIX-подобная, многозадачная операционная система. Основным для нее является текстовый интерфейс, хотя для Linux разработаны (или портированы) графические оболочки, такие как KDE или Gnome. В Linux запускаются несколько консолей, переключаться между которыми можно по кнопкам Alt + Ctrl + F1 для перовой консоли, Alt + Ctrl + F2 для второй и т.д. Краткую справку по каждой команде можно получить с помощью команды man, краткую с помощью ключа –h (--help). Например: man ifconfig. Также полезными для получения справки могут оказаться команды apropos и whatis. В Linux, не смотря на то, что в разных дистрибутивах методы хранения конфигурационной информации разнятся, утилиты настройки сети идентичны: • ifconfig – отображение настроек и конфигурирование сети, • route – управление таблицей маршрутизации (и, соответственно, настройками шлюза по умолчанию). • настройки DNS хранятся в текстовом файле /etc/resolv.conf Сетевые интерфейсы в Linux именуются (для сетей Ethernet) ethN, где N — номер сетевого адаптера начиная с нуля. Основными параметрами настройки сетевых интерфейсов являются: • IP-адрес • Маска подсети • Gateway (шлюз по умолчанию) • DNS-сервер IP-адрес (Internet Protocol Address) — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP. Имеет длину 4 байта. В терминологии сетей TCP/IP маской подсети или маской сети называется битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая — к адресу самого узла в этой сети. Шлюз по умолчанию (Default gateway), шлюз последней надежды (Last hope gateway) — в маршрутизируемых протоколах — адрес маршрутизатора, на который отправляется трафик, для которого невозможно определить маршрут исходя из таблиц маршрутизации. DNS (Domain Name System ) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства). Все эти параметры можно настраивать вручную или при помощи специальной службы. 8 9 Практическая работа работа 2. Лабораторная 1 Консольные утилиты настройки сетевых компонентов в Консольные утилиты настройки сетевых компонентов MS Windows 2000/XP/2003 и Linux Цель работы: • Получить практические навыки по работе со средой виртуализации ORACLE Virtual Box; • Получить практические навыки по конфигурированию сети в операционных системах Windows и Linux; • Ознакомиться с утилитами командной строки, предназначенными для диагностики и настройки сети; • Ознакомиться с форматом записи пути до сетевого ресурса UNC. • Разработать исполняемые файлы, конфигурирующие сетевой интерфейс по заданным параметрам; Необходимо: • Установленная на компьютере среда виртуализации ORACLE Virtual Box • Образы виртуальных жёстких дисков операционных систем Windows 2003 и Linux DHCP ( Dynamic Host Configuration Protocol) — это сетевой протокол, позволяющий компьютерам автоматически получать IPадрес и другие параметры, необходимые для работы в сети TCP/IP. Порядок выполнения работы: Часть 1. ORACLE Virtual Box 1. Запустить Virtual Box и ознакомиться с интерфейсом управления средой виртуализации. Основные элементы управления представлены в приложении 1. 2. Создать три виртуальные машины, используя образы жёстких дисков, предоставляемые преподавателем (две с ОС Windows и одну с ОС Linux). Параметры создаваемых машин выбрать Примечание: самостоятельно, учитывая технические характеристики компьютера. 3. Создать для любой виртуальной машины снимок начального состояния. 4. Используя виртуальные машины с ОС Windows, созданные в пункте 2, изучить различия следующих типов подключения при настройке сетевых адаптеров: • NAT • Сетевой мост • Внутренняя сеть Примечание 1: При использовании типа «Сетевой мост» требуется настроить виртуальные машины так, чтобы они имели доступ к сети Internet и всем локальным ресурсам основного компьютера. Примечание 2: При использовании типа «Внутренняя сеть» требуется создать на каждой виртуальной машине сетевую папку. Обе папки должны быть доступны для обеих машин. 5. Подключить к обеим виртуальным машинам сетевую папку основной операционной системы. 6. Создать для ранее выбранной виртуальной машины снимок конечного состояния системы, вернуть исходное состояние, используя ранее созданный снимок, а затем восстановить конечное. Убедиться в работоспособности виртуальной машины, проверив все установленные настройки. 10 Часть 2. MS Windows 1. Запустить виртуальную машину и авторизоваться в системе под администраторской учётной записью, используя заданное преподавателем имя пользователя и пароль. Проверить, активны ли следующие пункты в свойствах используемого сетевого подключения, и определить их назначение: • Клиент для сетей Microsoft; • Служба доступа к файлам и принтерам Microsoft; • Протокол TCP/IP. 2. Установить следующие параметры в свойствах протокола TCP/IP: • IP 192.168.1.10; • mask 255.255.255.0; • gateway 192.168.1.1; • DNS 192.168.1.254. 3. Используя знания, полученные в пункте 1, настроить сетевой интерфейс таким образом, чтобы внешние пользователи не могли получить доступ к ресурсам компьютера. 4. Разобраться в назначении параметров и ключей следующих утилит: • ping • ipconfig • net с директивами use и view • netsh с контекстом interface 5. С помощью утилиты netsh создать командные файлы для интерпретатора CMD.exe, с помощью которых можно было бы настраивать выбранный сетевой интерфейс двумя способами: • получение всех настроек через DHCP-сервер (автоматически) (IP, mask, gateway, DNS); • ввод всех настроек вручную (статически). Примечание: В качестве сетевых настроек использовать параметры из пункта 2. Часть 3. Linux 1. Запустить виртуальную машину и авторизоваться в системе под администраторской учётной записью. 2. Разобраться в назначении параметров и ключей утилиты ifconfig. 3. Создать исполняемый файл, настраивающий выбранный сетевой 11 интерфейс двумя способами: • получение всех настроек через DHCP-сервер (автоматически) (IP, mask, gateway, DNS) • ввод всех настроек вручную (статически) В качестве статических настроек использовать следующие данные: § IP 172.16.10.50 § Mask 255.255.0.0 § Gateway 172.16.0.1 § DNS 172.16.255.254 Содержание отчёта: В отчёт должны быть включены ответы на следующие вопросы: 1. Перечислите основные отличия типов подключений при настройке сетевых адаптеров в Virtual Box. 2. Что произойдёт, если у двух созданных виртуальных машин поменять местами образы жёстких дисков? 3. Для чего необходимы «снимки» виртуальных машин? 4. Как с помощью графической оболочки Windows можно запретить доступ через определенный сетевой интерфейс к ресурсам используемого компьютера? Как можно запретить используемому компьютеру доступ к ресурсам других компьютеров в сети Microsoft? 5. Как с помощью ipconfig узнать адрес DNS, на который настроен ваш компьютер? 6. Зачем нужна команда net use? Как с помощью этой утилиты подключить на локальный диск R: папку TEST на компьютере SRV (приведите командную строку)? 7. В чем назначение утилиты ping? В отчёте необходимо предоставить тексты исполняемых файлов из пункта 5 части 2 и пункта 3 части 3 лабораторной работы, а также скриншоты с информацией о рабочей сессии для каждой из созданных виртуальных машин. 12 Практическая работа работа 2 3. Лабораторная Анализ трафика в сетях Ethernet Цель работы: • Получить практические навыки по работе с анализаторами сетевого трафика; • На практике ознакомиться с различиями в принципах работы активного сетевого оборудования; • Уяснить особенности взаимодействия сетевого и канального уровней на примере стека TCP/IP; • Выяснить отличия форматов кадров Ethernet. Необходимо: • Компьютер под управлением MS Windows 2000/XP/2003 или Linux, подключенный к локальной сети; • Пользователь с администраторскими правами; • Сетевое подключение по протоколу IP; • Доступ к глобальной сети Интернет. • Программный пакет Wireshark. Порядок выполнения работы: 1. Изучить назначение утилиты arp. Установить какие из широковещательных сообщений принадлежат протоколу ARP и для чего они предназначены. 2. Запустить программу Wireshark и получить сетевую статистику длительностью в 150 секунд. Примечание: для увеличения интенсивности генерации кадров открыть любой информационный сайт в браузере. 3. Осуществить визуализацию полученных данных при помощи пункта меню построения графиков Io Graphs. 4. Используя сведения из пункта меню Summary определить длительность процесса анализа, количество захваченных пакетов, количество байтов, средний размер пакета, среднюю скорость передачи в Mbit/sec. 5. Визуализировать информационные потоки, образовавшиеся в результате работы при помощи пункта меню Flow Graph. 6. Выделить из общего числа пакеты службы DNS. 7. Определить разницу во временах получения 1 и 2 пакетов выделенных в предыдущем пункте. 13 Создать новый фильтр и захватить 5 Mb трафика. Создать Display Filter и выделить из общего числа пакеты по протоколам TCP и UDP предназначенные для 80 порта. 10. Создать собственный фильтр, захватывающий 30 пакетов из трафика между используемым компьютером и сайтом vkontakte.ru. 11. Найти широковещательные кадры и пакеты. Изучить их заголовки. Выяснить их назначение. Определить адреса, на которые поступают данные кадры и пакеты для канального и сетевого уровня. 12. На основании собранной статистики определить, к какому типу коммутационного оборудования подключен используемый компьютер. Примечание: в качестве коммутационного оборудования могут выступать хаб, коммутатор или маршрутизатор (см. Приложение 5). 8. 9. В отчет: 1. Предоставить скриншоты результатов выполнения пунктов 3 и 5. 2. Сведения, определённые в пункте 4. 3. Текст фильтра, созданного в пункте 10. Также в отчёте предоставить ответы на вопросы: 1. Какие типы кадров Ethernet бывают, в чем их отличия? 2. Какой тип кадров Ethernet используется в анализируемой сети? Почему именно он? 3. Как можно определить тип используемого коммутационного оборудования, используя сетевую статистику? 4. На какие адреса сетевого уровня осуществляются широковещательные рассылки? 5. На какой канальный адрес осуществляются широковещательные рассылки? 6. Для чего применяются перехваченные широковещательные рассылки? 7. Как с помощью утилиты arp просмотреть arp-кэш и как его очистить. В каких случаях может понадобиться последняя операция. 14 Практическаяработа работа34. Лабораторная Выбор коммутационного оборудования Цель работы: • Получить практические навыки подбора коммутационного оборудования по критериям различной степени формализации; • Приобрести опыт работы с описаниями и техническими спецификациями оборудования. Необходимо: • Доступ к сети интернет для поиска справочной информации Порядок выполнения работы: В соответствии с вариантом подобрать активное сетевое оборудование, способное обеспечить весь необходимый функционал, требуемый в задании (см. приложение №6). Каждый вариант состоит из трёх типов задач, требующих различные методы и подходы для их решения. При подборе оборудования необходимо соблюдать принцип минимизации финансовых затрат. Ограничения по производителям оборудования нет, однако рекомендуется обратить внимание на оборудование LinkSys, CISCO, DLINK, ASUS, HP. Вариант 1 1. Подобрать коммутатор с 48 портами Fast Ethernet и двумя портами Gigabit Ethernet, поддерживающий технологию управления потоком IEEE 802.3x. 2. Подобрать коммутационное оборудование для сети небольшого офиса. В состав сети входят 15 компьютеров с равным уровнем доступа. Максимальная нагрузка на сеть возможна при одновременном доступе к файловой базе данных объемом 96 Мб. Обеспечить возможность подключения существующей IDS (системы обнаружения вторжения), осуществляющей мониторинг всего передаваемого внутри локальной сети трафика. 3. Подобрать коммутационное оборудование для сети крупного автосервиса. Требуется создать инфраструктуру для обслуживания 6 ремонтных боксов. Необходимо обеспечить работоспособность специализированного программного 15 обеспечения и доступность всех сетевых ресурсов пользователям. Каждый сотрудник имеет коммуникационное устройство с беспроводным интерфейсом, которое служит для оповещения о поступивших заказах и контроля за их выполнением. Каждое из них должно строго контролироваться и работать на всей территории автосервиса. Расстояние между наиболее удаленными точками территории автосервиса 340 метров. дальнейшее увеличение парка машин и возможность удалённого управления всем сетевым оборудованием. Также необходимо обеспечить распределение нагрузки сети таким образом, чтобы исключить возможность намеренного блокирования каналов связи. Вариант 2 1. Подобрать неуправляемый коммутатор с 16 портами 10/100/1000Base-T и поддержкой технологии IEEE 802.1p QoS. 2. Подобрать коммутационное оборудование для проведения чемпионата России по киберспорту. Необходимо обеспечить совместную работу минимум 90 компьютеров. Следует избежать ситуации задержек в игре из-за недостаточной производительности коммутационного оборудования. Пиковый трафик, генерируемый средней современной сетевой игрой, составляет 10Мб\с. Предусмотреть возможность компактной установки коммутационного оборудования в стойку. 3. Подобрать коммутационное оборудование для телевизионной компании. Требуется обеспечить раздельную работу 4 студий, каждая из которых должна работать в собственной VLAN сети. Количество компьютеров в студиях 40. Вариант 4 1. Подобрать коммутатор третьего уровня с минимум 44 портами FastEthernet с поддержкой протокола OSPF, зеркалирование портов в режиме Many-to-one. 2. Подобрать коммутационное оборудование для сети студии видеомонтажа. В студии создан вычислительный кластер для обсчета цифрового видео из 4 компьютеров. Оборудование должно быть гарантированно неблокирующим, то есть обладать внутренней шиной такой производительности, чтобы гарантированно обработать максимально возможные потоки между всеми нагруженными портами коммутатора. 3. Подобрать коммутационное оборудование для загородного ресторанного комплекса. Комплекс состоит из 5 залов и 2 открытых веранд. В каждом зале находятся 4 терминала для управления заказами, а на верандах по 2. Требуется обеспечить работу терминалов управления заказами во всех помещениях, доступность терминалам 10 сетевых принтеров и возможность работы трём компьютерам менеджеров. Вариант 3 1. Подобрать коммутатор с возможностью подключения 7 IPвидеокамер по проводной сети Fast Ethernet с возможностью обеспечивать электропитание камер по линии связи (Power over Ethernet). 2. Подобрать коммутационное оборудование для сети крупного предприятия. Требуется организовать изолированные потоки данных для разных отделов. Также необходимо создать высокоскоростной back-bone (выделенную магистральную сеть) для связи отделов между собой с возможностью доступа к ресурсам и сервисам предприятия. На предприятии 25 отделов. В каждом отделе до 30 компьютеров. 3. Подобрать коммутационное оборудование для сети общеобразовательной школы, в которой имеется несколько небольших компьютерных классов. Требуется учесть Вариант 5 1. Подобрать управляемый коммутатор второго уровня с минимум 8 портами FastEthernet и двумя оптическими портами SFP. 2. Подобрать коммутационное оборудование для ядра крупной корпоративной сети. Обеспечить коммутацию 18 каналов от подразделений, каждый из которых имеет пропускную способность в 100 Мб\с. Необходимо реализовать фильтрацию на основе IP адресов и автоматический мониторинг состояния оборудования. 3. Подобрать коммутационное оборудование для городской больницы. Требуется обеспечить доступ к общей больничной базе во всех кабинетах и к глобальной сети интернет. Необходимо предусмотреть возможность блокирования доступа к базе из внешней сети и доступ в интернет по WiFi для посетителей на всей территории больницы. 16 17 Вариант 6 1. Подобрать управляемый коммутатор второго уровня с минимум 16 портами FastEthernet и поддержкой Spanning Tree. 2. Подобрать коммутационное оборудование для использования в качестве узловых точек растущей сети кабельного интернетпровайдера. Необходимо обеспечить удаленное управление устройством и возможность подключения к нему точек доступа WiFi без прокладки к ним линий электропитания. 3. Подобрать коммутационное оборудование для информационной сети студенческого общежития. Необходимо обеспечить высокоскоростную передачу данных между всеми узлами сети. Общежитие имеет 4 этажа, следовательно, необходима магистраль передачи данных между этажами. На каждом этаже по 100 комнат, в каждой из которых должен быть доступ к сети. Необходимо обеспечить контроль распределения адресов в сети и мониторинг сетевого трафика. Вариант 7 1. Подобрать коммутатор третьего уровня с возможностью объединения в стек, минимум с 30 портами FastEthernet и фильтрацией по IP адресам. 2. Подобрать коммутационное оборудование для DATA-центра хостинговой компании. Через сеть в среднем передается 4 Терабайта в день. Необходимо обеспечить соединение сетей с разными канальными протоколами (FastEthernet, GigabitEthernet на витой паре и FastEthernet по оптическим каналам), обеспечить масштабируемость решения. 3. Подобрать коммутационное оборудование для проведения выставки информационных технологий. Требуется обеспечить зону покрытия WiFi на всей территории выставки, а также возможность удалённого управления цифровыми проекторами. Координация выставки будет происходить и специального центра, который представляет собой несколько компьютеров. Все они должны иметь доступ к сети, и только они должны иметь доступ к управлению проекторами. 2. 3. Подобрать коммутационное оборудование для локальной сети, компьютеры в которой расположены двумя группами в двух помещениях, которые в настоящий момент удалены друг от друга на расстояние (по кабельной трассе) 90 м. В каждом помещении находятся 20 компьютеров. При подборе оборудования необходимо учесть скорый переезд одного отдела в соседнее здание на расстояние по кабельной трассе 1800 м. Необходимо обеспечить минимальные финансовые затраты и не приобретать оборудование, которое может не понадобиться. Подобрать коммутационное оборудование для главного узла компании, занимающейся продажей трафика через свою сетевую инфраструктуры. Требуется обеспечить максимально возможную пропускную способность и полезную скорость передачи данных, компактность и масштабируемость решения. Содержание отчёта: В отчёт входит краткая пояснительная записка, в которой обосновывается выбор того или иного активного оборудования. В ней указывается: • модель выбранного оборудования; • характеристики, обеспечивающие решение поставленных задач; • стоимость устройства; • дополнительные параметры и характеристики, говорящие в пользу вашего выбора; • рекомендации по организации разработанной сетевой структуры. Вариант 8 1. Подобрать неуправляемый коммутатор минимум с 7 портами 10/100Base-TX и 1 оптическим портом 100Base-FX. 18 19 Практическая работа Лабораторная работа5.4 Работа с адресами IP сетей Цель работы: получить практические навыки по работе с пространством IP-адресов, масками и управления адресацией в IP сетях. Необходимо: • Навыки по переводу чисел из десятичной в двоичную систему и наоборот, в ручном режиме или с помощью компьютера. Краткие теоретические сведения Все пространство IP адресов делится на логические группы – IP-сети. Они нужны для организации иерархической адресации в составной IPсети, например Интернете. Каждой локальной сети присваивается своя IP-сеть, маршрут до IP-узлов, находящихся в этой локальной сети строится на маршрутизаторах как маршрут до их IP-сети. И только после того, как пакет попал в конкретную IP-сеть, решается задача его доставки на отдельный узел. В IP-адресе выделяются две части – адрес сети и адрес узла. Деление происходит с помощью маски – 4-x байтного числа, которое поставлено в соответствие IP-адресу. Макса содержит двоичные 1 в тех разрядах IPадреса, которые определяют адрес сети и двоичные 0 в тех разрядах IP адреса, которые определяют адрес узла. Адресом IP-сети считается IP-адрес из этой сети, в котором в поле адреса узла содержатся двоичные 0. Этот адрес обозначает сеть целиком в таблицах маршрутизации. Есть еще служебный IP-адрес – адрес ограниченного широковещания – в поле адреса узла он содержит двоичные 1. Оба эти адреса не используются для адресации реальных узлов сети, однако входят в диапазон адресов IP-сети. Рассмотрим пример: есть адрес 192.168.170.15 с маской 255.255.252.0. Определим адрес сети, адрес широковещания и допустимый для данной IP-сети диапазон адресов. DEC IP 192 168 170 15 DEC MASK 255 255 252 0 BIN IP 11000000 10101000 10101010 00001111 BIN MASK 11111111 11111111 11111100 00000000 С фоном – адрес сети, без фона – адрес узла 20 BIN IP сети 11000000 DEC IP сети скопируем сетевую часть IP и заполним узловую часть 0 192 168 168 0 BIN IP 11000000 10101000 10101000 10101000 10101011 00000000 11111111 Адрес широковещания (скопируем сетевую часть IP и заполним узловую часть 1) 192 168 171 255 DEC IP широковещания Начало 192 168 168 1 диапазона IP(значение поля узла +1 к IP адресу сети) адресов для узлов Окончание 192 168 171 254 диапазона IP(значение поля узла -1 от IP-адреса адресов для широковещания) узлов Если имеется сеть, составленная из нескольких локальных сетей, соединенных между собой маршрутизаторами, то нужно каждой из этих локальных сетей назначить отдельную IP-сеть. В случае, если для такой сети выдается большая IP-сеть в управление (например, такую сеть может назначить провайдер Интернет), то эту сеть необходимо разделить с помощью масок на части. Примечание: необходимо отметить, что подобная ситуация может иметь место, если вам необходимо назначить узлам вашей сети реальные IP адреса, для того чтобы ваши компьютеры были «видны» из Интернета каждый под своим адресом. Порядок выполнения работы: В работе даны 4 варианта задания (таблица 2). Необходимо сделать все варианты. На приведенной схеме представлена составная локальная сеть. Отдельные локальные сети соединены маршрутизаторами. Для каждой локальной сети указано количество компьютеров. Провайдер выдал IP-cеть (данные о сети представлены в таблице 2). Необходимо установить IP-адрес сети и допустимый диапазон адресов. Разделить 21 сеть на части, используя маски. Маску надо выбирать так, чтобы в отделяемой IP подсети было достаточно адресов. Примечание: порт маршрутизатора, подключенный к локальной сети, имеет IP адрес! Выделять диапазоны следует, начиная с самой большой сети. Некоторые маски представлены в таблице 3. Router 1 Win 2003 Router 2 Win 2003 Router 3 Win 2003 255.255.255.248 255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 255.255.255.0 255.255.254.0 000 0000 00000 000000 0000000 00000000 0.00000000 8 16 32 64 128 256 512 В отчет: В качестве отчета предоставить результаты расчетов в табличной форме Сеть 1 Сеть 3 Сеть 2 Сеть 4 Станция 1 Win XP Router 4 Win 2003 Станция 3 Win xP Компьютер, выполняющий роль рабочей станции. Сеть 5 Компьютер, выполняющий роль программного маршрутизатора Станция 2 Win XP Таблица 2 Вариант: Сеть Сеть 1 IP-сети, маска Количество IP адресов в IP-сети Начальный и конечный адреса сети, пригодные для адресации портов маршрутизаторов и компьютеров. Вар IP- адрес из сети Количество компьютеров в сети маска Сеть 1 Сеть 2 Сеть 3 Сеть 4 Сеть 5 1 192.169.168.70 500 16 19 200 100 255.255.248.0 2 172.21.25.202 30 3 2 12 6 255.255.255.224 3 83.14.53.9 10 12 8 3 8 255.255.255.128 4 190.23.23.23 5 3 3 3 3 255.255.255.192 Таблица 3 Маска Количество Количество всех адресов в IP двоичных 0 сети с такой маской 255.255.255.252 00 4 22 23 Сеть 2 Сеть 3 Сеть 4 Сеть 5 Практическая Лабораторнаяработа работа6.5 Конфигурирование межсетевого экрана Цель работы: • получить представление о работе классического межсетевого экрана. • Закрепить понимание адресации на сетевом и транспортном уровне стека TCP/IP. Необходимо: • Установленная на компьютере среда виртуализации ORACLE Virtual Box; • Образы виртуальных жёстких дисков операционных систем Windows 2003 и Linux; • Доступ к сети Интернет; • Учетные записи пользователей с администраторскими правами. Краткие теоретические сведения: Под межсетевым экраном или брандмауэром понимают фильтр IP пакетов предназначенный для формального ограничения соединений клиентов и серверов работающих «поверх» стека TCP\IP. В основу работы классического firewall положен контроль формальных признаков. В общем случае фильтрация осуществляется по: • IP адресам отправителя и получателя в заголовке IP пакета; • номерам портов приложения-получателя и приложенияотправителя инкапсулированным в IP протокол транспортного (TCP, UDP) и сетевого уровней (ICMP). Правила фильтрации формируются в виде списка. Все проходящие пакеты проверяются по списку последовательно, до первого срабатывания. Последующие правила к пакету не применяются. Для конфигурирования firewall в Linux необходимо сформировать набор правил iptables. В iptables реализовано несколько цепочек правил INPUT для входящего трафика, OUTPUT для исходящего и FORWARD для пересылаемого. Управление цепочками производится с помощью консольной команды iptables. Примеры: • iptables -A INPUT -s ws.mytrust.ru -j ACCEPT включает прием всех пакетов с хоста ws.mytrust.ru 24 • iptables -A OUTPUT -d mail.ifmo.ru --dport 25 -j DROP запрещает отправку всех пакетов на хост mail.ifmo.ru на порт 25 • iptables -A INPUT -j DROP запрещает прием всех сообщений. В протоколах TCP и UDP (семейства TCP/IP) порт — идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах (в том числе c другими приложениями на этом же хосте). Порядок выполнения работы: Часть 1. Windows 1. Разобраться в назначении параметров и ключей следующих утилит: • sc; • netsh с дерективами firewall и diag; • netstat. 2. Создать скрипт, который: • включает автоматическую загрузка Брандмауэра Windows; • запускает брандмауэр; • включает протоколирование входящих соединений; • настраивает службу Telnet на ручной запуск; • добавляет правило, разрешающее доступ с IP адресов сети компьютерного класса к службе Telnet; • разрешает системе отвечать на запросы echo-request ICMP; • запускает службу Telnet; 3. Запустить сеанс Telnet из реального компьютера в гостевую ОС. 4. В гостевой ОС вывести на экран данные только об установленных соединениях со службой Telnet, с указанием IP адресов и портов в численной форме. 5. В гостевой ОС проверить доступность службы Telnet на виртуальной машине. Часть 2. Linux 1. Разобраться в назначении параметров и ключей утилит iptables и iptables-save 2. Сконфигурируйте firewall в Linux следующим образом: 25 • • • • • • • • • Должен быть доступен DNS сервер c адресом 194.85.32.18 Должны быть доступны все наружные Web сервера и HTTP прокси с адресом шлюза proxy.ifmo.ru Должен быть доступен FTP сервер ftp.ifmo.ru, Должны быть доступны все наружные POP3 сервера Примечание: Связь по открытым портам в этом правиле можно устанавливать только из защищаемой системы. Должен быть доступен SMTP сервер mail.ifmo.ru, Со всех узлов подсети 83.0.0.0/16 должен быть доступен SSH сервер на используемом компьютере Отдельно должен быть заблокирован доступ к системе с хоста 10.10.11.173 Используемая система не должна отвечать на запросы команды PING Работа с остальными сервисами должна быть блокирована Содержание отчёта: В отчёт должны быть включены ответы на следующие вопросы: 1. От чего не способен защитить классический firewall? 2. Можно ли организовать доступ к Web серверу, если у клиентов закрыт доступ к 80 порту? 3. В чем отличие правил Deny и Drop? 4. Каким образом осуществляется оптимизация правил, используемых в работе firewall? 5. Перечислите ограничения брандмауэра Windows относящиеся к фильтрации трафика TCP/IP. Также в отчёте необходимо предоставить: 1. Список правил iptables 2. Команды по созданию правил Windows-брандмауэра. 26 Практическая работа работа 7. Лабораторная 6 Маршрутзация в IP сетях Цель работы: • Получить представление о работе IP маршрутизатора; • Порпактиковаться в составлении таблиц маршрутизации и работе протоколов внутренней маршуртизации; • Дополнительной целью работы является приобретение опыта работы в средах виртуализации. Необходимо: • Семь компьютеров, объединенных локальной сетью. • Установление на них программа ORACLE Virtual Box. • Виртуальные машины Windows 2003 Server и Windows XP. • Понимание структуры IP адресов и принципов маршрутизации. Краткие теоретические сведения: Маршрутизаторы (аппаратные или программные) выполняют задачу выбора оптимального маршрута следования IP пакета и его отправки по этому маршруту. Для принятия решения анализируется адрес получателя и устанавливается маршрут следования на основе неких формализованных записей о структуре составной сети. Эти записи называются таблицами маршрутизации. В таблице маршутизации присутствуют как минимум следующие поля: адрес назначения (адрес IP-сети или IP адрес хоста), идентификатор порта, через который пакет идет до сети назначения (порт обозначается IP-адресом или внутренним номером), шлюз (IP адрес на который необходимо пойти после того как пакет покинет порт), метрика (показатель качества маршрута). На каждом маршрутизаторе сети присутствует таблица, полностью описывающая структуру всей сети и, иногда, содержащая записи о маршрутах по умолчанию. Таблицы маршрутизации составляются вручную или с помощью протоколов маршрутизации, автоматизирующих этот процесс. Одним из таких протоколов является протокол RIP2. Использование виртуальных машин в этой работе обусловлено исключительно соображениями удобства развертывания нескольких операционных систем на одном компьютере и не связано напрямую с главной целью работы. 27 В работе операционные системы Microsoft © могут заменяться на любые другие при условии, что последние поддерживают программную маршрутизацию IP. Так же в работе сделано еще одно допущение: реально, маршрутизатор объединяет несколько локальных сетей, имея по интерфейсу (порту) в каждой локальной сети. В случае программного маршрутизатора, работающего в составе ОС, в качестве портов выступают сетевые карты на компьютере. В работе программный маршрутизатор использует единственный интерфейс с двумя IP адресами для доступа к единой локальной сети, маршрутизируя фактически изолированные IP потоки. Порядок выполнения работы: Часть 1. Packet Tracer: 1. Реализовать схему, приведенную на рисунке 1, смоделировав ее в программе Packet Tracer. 2. Воспользовавшись расчетами адресов из лабораторной работы номер 5 (любым из четырех вариантов), назначить адреса компьютеров, коммутационного оборудования и настроить статическую маршрутизацию в данной сети. 3. Проверить возможность передачи пакетов данных между узлами модели. Часть 2: 1. Используя виртуальные машины реализовать работу составной IP сети, схема которой представлена на рисунке 1. Примечание: В сети 7 компьютеров. Три рабочих станции и четыре маршуртизатора. В качестве этих компьютеров будут выступать гостевые операционные системы. Рабочие станции будут работать под windows XP или Windows 2003, а программные маршрутизаторы под управлением Windows 2003 (XP не поддерживает программную маршрутизацию). Все компьютеры будут подключены к одной локальной сети, а в ней организуются изолированные по адресам IP сети. Одновременная работа одного сетевого интерфейса в разных IP сетях достигается назначением двух и более IP адресов одному сетевому интерфейсу (Свойства сетевого соединения Свойства TCP\IP \ Дополнительно). 28 Router 1 Win 2003 Сеть 1 Router 2 Win 2003 Router 3 Win 2003 Сеть 3 Сеть 2 Сеть 4 Станция 1 Win XP Router 4 Win 2003 Станция 3 Win xP Компьютер, выполняющий роль рабочей станции. Сеть 5 Компьютер, выполняющий роль программного маршрутизатора Станция 2 Win XP Рис. 1 2. 3. На первом этапе необходимо составить план сети (заранее выбрать IP-адреса для сетей, рабочих станций и портов маршрутизаторов). Можно использовать результаты моделирования в первой части работы. Задать уникальное имя для каждого виртуального компьютера. В виртуальной операционной системе: • Поменять MAC адрес сетевой платы на новый уникальный (Свойства сетевого соединения / Настройка сетевого адаптера / Сетевой адрес). Делать это необходимо из-за того, что виртуальные машины созданы из одной копии и, следовательно, обладают идентичными MAC адресами, что приводит к неправильной работе коммутатора локальной сети. • Изменить имя компьютера (панель управления / свойства системы / имя) • Установить все необходимые IP адреса. Примечание: На рабочих станциях необходимо указывать шлюз по умолчанию – IP адрес порта маршрутизатора из IP сети. На маршрутизаторах делать этого не следует – маршрута по умолчанию нет. Адреса DNS остаются пустыми. 29 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. С помощью команды PING проверить видимость ближайших соседей по локальной сети. На маршрутизаторах запустить службу Routing and Remote Access (Панель управления / Администрирование / Routing and Remote Access). С помощью мастера сконфигурируйте службу, как LAN Router. С помощью консольной команды ROUTE изучить таблицу маршрутизации по умолчанию. С помощью консольной команды ROUTE (рекомендуемый способ) или с помощью графической консоли службы Routing and Remote Access дополнить таблицу необходимыми записями. С помощью команды ping проверить достижимость рабочих станций друг с друга, а с использованием команд tracert и pathping проверить путь следования IP пакетов. Сохранить таблицы маршрутизации в текстовом файле. Удалить созданные вручную записи в таблицах маршрутизации. Примечание: рабочие станции не должны определять друг друга в сети. Добавить в консоли службы Routing and Remote Access на маршрутизаторах протокол RIP2 (General / Add new routing protocol). В нем добавить интерфейс, через который будет происходить обмен векторами маршрутизации. Установить интервал обмена 60 секунд. Обновить консоль и убедиться, что пошли рассылки таблицы. После получения чужих таблиц вывести таблицу динамической маршрутизации (IP-routing / Routing tables) После того, как будут получены все необходимые записи, с помощью команды ping проверить достижимость рабочих станций, а с использованием команд tracert и pathping проверить путь следования IP пакетов. Отключить службу Routing and Remote Access и установить автоматическое получение IP адресов на витуальных системах. В отчет: 1. Скриншот схемы сети из Packet Tracer (часть 1). 2. Таблицы маршрутизации всех маршрутизаторов (часть 2). 3. Скриншот таблиц маршрутизации из Packet Tracer (часть 1). Ответы на вопросы: 30 1. Как в таблице маршрутизации MS отличить маршрут на хост от маршрута на сеть? 2. Как в таблице маршрутизации MS отличить маршрут по умолчанию? 3. Как с помощью команды route вывести таблицу маршрутизации, добавить и удалить маршрут? 4. Какие методы предотвращающие возникновение ложных маршрутов в RIP2 включены на маршрутизаторе MS по умолчанию? Для тех, кто решит выполнить работу в иной ОС (например Linux) следует готовить этот отчет в терминах и применительно к другой ОС. Практическая работа работа 7 8. Лабораторная DNS Цель работы: • Получить представление о работе DNS сервера. • Получить практические навыки использования утилит работы с серверами системы DNS и конфигурирования системы. Необходимо: • Установленная система виртуализации; • Виртуальные машины Windows 2003 Server; • Представление о работе системы DNS; • Доступ в Web. Краткие теоретические сведения: Система DNS – распределенная база данных хранящая соответствие между IP адресом и доменным именем компьютера. Система DNS – клиент - серверная. DNS-клиент получает в качестве конфигурационного параметра IP адрес обслуживающего DNS-сервера и получает к нему доступ напрямую. 31 На сервере DNS могут присутствовать множество записей разных типов и назначения. Диагностику работы DNS с клиента можно выполнять с помощью команд ping (формальная проверка разрешения имени) и с помощью консольной утилиты nslookup (работа с DNS сервером в режиме запросответ). Порядок выполнения работы: Часть 1. Освоение утилиты nslookup 1. Используя встроенную справку и доступные материалы в Web выяснить: • Назначение и формат следующих типов записей DNS: SOA, A, NS, MX, CNAME; • Значение и взаимосвязь терминов «домен» и «доменная зона»; • Значение термина «зона обратного просмотра»; • Значение термина «делегирование домена». 2. С помощью консольной утилиты nslookup: • Определить адреса хостов обслуживающих почтовый домен yandex.ru Примечание: запрос необходимо выполнить к NS северу сети RunNet (домен runnet.ru), для чего необходимо выяснить имена или адреса DNS серверов зоны runnet.ru. • Определить каноническое имя (CNAME) для хоста www.ifmo.ru. • Определить e-mail администратора DNS сервера зоны ifmo.ru (запрос можно к DNS серверу зоны ifmo.ru). Часть 2. Управление и настройка DNS-сервера под Windows Server 1. Подготовить два (Б и Д) компьютера с Windows Server. Согласовать настройку сети с преподавателем. Проброс сети в виртуальной машине должен быть настроен на режим «сетевой мост». 2. Установить пакет support tools (он содержит необходимую для работы утилиту dnscmd.exe). В конфигурации TCP/IP установить согласованный с преподавателем IP адрес и адрес DNS равный IP. 32 3. 4. 5. 6. 7. 8. Разработать план доменного дерева со следующими условиями: • Сервер Б должен содержать зону, поддерживающую домен инициалы.local (например adb.local); • Сервер Б должен содержать зону обратного просмотра для IP сети, в которой будут находится сервера Б и Д; • В зоне прямого просмотра сервера Б должна быть заведена запись типа А для сервера Б; • В зоне прямого просмотра сервера Б должен быть создан поддомен sub1.инициалы.local, все записи которого хранятся в зоне сервера Б; • В зоне прямого просмотра сервера Д должен быть создан поддомен sub2.инициалы.local; • В зоне прямого просмотра сервера Б должно быть назначено делегирование домена sub2.инициалы.local в зону сервера Д; • Все ссылки в SOA на DNS серверах должны быть сделаны через псевдонимы с именем ns; • Сервер Д должен содержать дополнительную зону обратного просмотра для зоны обратного просмотра с сервера Б, должно быть включено уведомление об изменениях и ограничено предоставление копии зоны только для сервера Д; • В доменах инициалы.local, sub1.инициалы.local и sub2.инициалы.local должны быть А записи на хосты с именами srv и ip равными ip-адресам сервера, поддерживающего домен, в котором создается запись. Установить и настроить DNS сервера на компьютерах Д и Б согласно п.5. Установить, на каких номерах портов и по каким протоколам транспортного уровня работает DNS сервер. Изучить содержимое файлов зон (сохранить их для отчета). С помощью утилит dnscmd получить список всех зон на обоих серверах, и содержимого зоны инициалы.loc (сохранить их для отчета). Разобраться в назначении других ключей утилиты dnscmd. Убедиться, что на сервере Б корректно разрешается имена: • srv.инициалы.local; • srv.sub1.инициалы.local; 33 • srv.sub2.инициалы.local. Сохранить для отчета вывод команд. Часть 3. Рекурсивный поиск по дереву DNS 1. Перенастроить DNS сервер Б, поменяв IP адрес по указаниям преподавателя и переключив проброс сети в виртуальной машине на режим «NAT». 2. Настроить DNS-сервер так, чтобы он запрашивал внешний сервер с адресом 194.85.32.18 в случаях, когда сам не способен разрешить имена. (Параметр Forwarders в Свойствах сервера). 3. Проверить корректность разрешения имени www.google.ru при работе через DNS. 4. Удалить настройку Forwarders и очистить кэш сервера не перезагружая его. 5. Проверить корректность разрешения имени www.google.ru при работе через DNS в новой конфигурации. 6. С помощью любой программы анализатора трафика (например, wireshark) установить этапы работы алгоритма разрешения имени в п.3 и п. 5. Сохранить перехваченные сообщения для отчета. В отчет: 1. Консольный вывод команды nslookup части 1 п. 2. 2. Файлы зон с среверов Б и Д из части 2 п.6. 3. Вывод команд из части 2 п. 7, 8. 4. Перехваченные сообщения разрешения имени из части 3 п. 6. Ответы на вопросы: 1. Для чего предназначены основные типы записей DNS? 2. В каком режиме работал DNS-сервер в части 3 п. 3 и в п. 5 (рекурсивном или нет)? 3. Что такое корневые ссылки? Привести несколько адресов корневых DNS серверов «известных» созданному DNS-серверу по умолчанию. 4. Разрешение имени в части 3 п. 3 и п. 5 происходило с разной скоростью. Почему? 5. В чем назначение зоны обратного просмотра? 34 6. Как определить, какие хосты обрабатывают почту, направленную в домен yandex.ru? Для тех, кто решит выполнить работу в иной ОС (например Linux) следует готовить этот отчет в терминах и применительно к другой ОС. Лабораторная работа 8 9. Практическая работа Работа с прикладными протоколами из командной строки Цель работы: получить представление о принципах работы и практические навыки работы с типичными высокоуровневыми протоколами через текстовые консоли. Необходимо: • Установленная на компьютере среда виртуализации ORACLE Virtual Box; • Образ виртуального жёсткого диска операционной системы Windows 2003; • Доступ в глобальную сеть Интернет по протоколам Web и FTP; • Терминальные клиенты ftp и telnet; • Сгруппироваться по двое. Краткие теоретические сведения: Для передачи электронных писем необходим почтовый сервер (сервер электронной почты, мейл-сервер), который в системе пересылки электронной почты называется агентом пересылки сообщений (mail transfer agent, MTA). Это компьютерная программа, которая передаёт сообщения от одного компьютера к другому. Обычно пользователи работают с почтовыми системами через клиент электронной почты (mail user agent, MUA), например Outlook Express или Thunderbird. Когда пользователь набрал сообщение и посылает его получателю, почтовый клиент взаимодействует с почтовым сервером, используя протокол SMTP (Simple Mail Transfer Protocol). Почтовый сервер отправителя взаимодействует с почтовым сервером получателя (напрямую или через промежуточный сервер — релей). На почтовом 35 сервере получателя сообщение попадает в почтовый ящик, откуда при помощи агента доставки сообщений (mail delivery agent, MDA) доставляется клиенту получателя. Часто последние два агента совмещены в одной программе (к примеру, sendmail), хотя есть специализированные MDA, которые в том числе занимаются фильтрацией спама. Для финальной доставки полученных сообщений используется протокол POP3 (Post Office Protocol Version 3). Порядок выполнения работы: Часть 1. Консольное управление электронной почтой 1. Разобраться в назначении параметров и ключей следующих терминальных утилит: • telnet.exe; • ftp.exe; 2. Используя клиент ftp.exe получите с сервера ftp://ftp.asus.com/ из каталога pub/ASUS/DVR/ файл e1351_drw-0402p_d.pdf. Примечание: адрес FTP сервера и имя файла может быть выбрано самостоятельно. 3. Определить адреса, используемые для отправки и получения сообщений, вашего почтового ящика. 4. Выяснить номера портов для серверов отправки и получения электронной почты. 5. Разобраться в назначении и функционировании команд telnet.exe, используемых для управления почтой. 6. С помощью telnet.exe отправите сообщение со своего почтового ящика на почтовый ящик своего партнёра. 7. С помощью telnet.exe прочитайте полученное от вашего партнёра сообщение. 4. адресами электронной почты. Отправить письмо от одного локального пользователя другому и убедиться в его поступлении. Содержание отчёта: В отчёте необходимо предоставить текстовые команды из всех пунктов части 1 задания, а также скриншоты из 2 части задания с текстом полученного сообщения, адресом отправителя и адресом получателя. Часть 2. Создание, конфигурирование и тестирование серверов электронной почты 1. Ознакомиться с окном управления ролями сервера операционной системы Windows 2003. 2. Добавить роль сервера электронной почты по протоколам POP3 и SMTP. Примечание: В качестве имени домена использовать собственную фамилию. 3. Создать двух локальных пользователей с уникальными 36 37